Privacy, il vademecum per i datori di lavoro

Il Garante della privacy, con un provvedimento del 23 novembre 2006, ha definito le linee guida per il trattamento dei dati personali dei dipendenti dei datori di lavoro privati. Si tratta di un sorta di vademecum, in cui vengono elencanti una serie di adempimenti per le imprese, al fine di tutelare al meglio la riservatezza dei dati personali dei propri dipendenti. Il documento, che è stato pubblicato anche in Gazzetta Ufficiale- n. 285 del 07/12/06 -, esamina le diverse tipologie di trattamenti di dati personali che possono avvenire in azienda e alle quali vanno associate le relative misure di sicurezza a tutela della privacy. Tra gli adempimenti è previsto: 1) il rilascio ai dipendenti di idonea informativa sul trattamento dei dati, con richiesta del relativo consenso per il trattamento dei dati sensibili o per la diffusione dei dati non sensibili; 2) la designazione di figure preposte all’uso di tali dati con un atto di nomina dei responsabili e degli incaricati al trattamento, sia interni che esterni all’azienda; 3) la predisposizione di idonee misure di sicurezza per gli archivi cartacei, con particolare riguardo ai dati sensibili. Si pensi alle cartelle sanitarie di rischio, queste vanno custodite in luogo chiuso a chiave, con accesso consentito al solo medico competente. In ogni caso i dati sensibili presenti in documenti cartacei vanno tenuti separati da quelli comuni, predisponendo ad esempio un’apposita cartellina; 4) particolari cautele per le modalità di comunicazione e diffusione dei dati. Parte delle linee guida è dedicata al trattamento dei dati biometrici che può avvenire per autorizzare l’accesso a particolari settori dell’azienda. Il Garante consente l’utilizzo di tali dati solo se effettivamente necessario, tenuto conto delle finalità e del contesto in cui sono trattati, al fine di presidiare accessi ad “aree sensibili” considerata la natura delle attività ivi svolte (si pensi, ad esempio, a processi produttivi pericolosi o sottoposti a segreti). Dispone che la creazione di una banca dati centrale per tali dati risulti di regola sproporzionata e non necessaria, e raccomanda pertanto misure alternative. Un aspetto fondamentale è poi capire l’efficacia vincolante o meno, a livello giuridico, delle nuove linee guida. Quali sono le conseguenze per le aziende che se ne discostano? Il documento contiene un elenco di precetti, taluni sotto forma di orientamenti, altri invece che hanno un tenore prescrittivo, come nel caso di trattamento dei dati biometrici. Sicuramente, in riferimento al trattamento dei dati biometrici, sussiste un obbligo giuridico di uniformarsi da parte dei titolari del trattamento alle diverse situazioni evidenziate nel punto 4 delle linee guida. Ciò anche in base a quanto previsto dagli articoli 17, 154 e 167 del Codice sulla privacy, che consentono al Garante di dettare misure specifiche per i trattamenti che comportano rischi specifici. La violazione di tali prescrizioni sarà pertanto sanzionata anche penalmente, se la finalità era trarre profitto o recare danno all’interessato. Per le altre prescrizioni si propende per la natura di “orientamenti-indirizzi”, anche se non si può escludere che in una ipotetica controversia giudiziale possano assumere un valore autorevole, determinante nella decisione del giudice. Lachiver Servizi è a disposizione per offrire i migliori servizi di consulenza e formazione in tema di privacy.